网络犯罪分子和 IP 地址

Internet 协议地址（IP 地址）是一个数字标签，例如192.0.2.1，它连接到使用Internet 协议进行通信的计算机网络。 IP 地址有两个主要功能：网络接口识别和位置寻址。

Internet 协议版本 4 (IPv4) 将 IP 地址定义为32 位数字。然而，由于Internet的发展和可用 IPv4 地址的枯竭，使用 128 位 IP 地址的新版本 IP ( IPv6 ) 在 1998 年被标准化。  自 2000 年代中期以来， IPv6 的部署一直在进行。

IP 地址以人类可读的符号编写和显示，例如IPv4中的192.0.2.1和 IPv6 中的2001:db8:0:1234:0:567:8:1。地址的路由前缀的大小以CIDR 表示法通过在地址后加上有效位数来指定，例如192.0.2.1 / 24，相当于历史上使用的子网掩码 255.255.255.0。

IP 地址空间由Internet 编号分配机构(IANA) 和五个区域 Internet 注册管理机构(RIR) 在其指定领土内负责分配给本地 Internet 注册管理机构，例如Internet 服务提供商(ISP) 和其他终端用户。IPv4 地址由 IANA 以大约 1680 万个地址块的形式分发给 RIR，但自 2011 年以来在 IANA 级别已用尽。只有一个 RIR 仍然为非洲的本地分配提供资源。一些 IPv4 地址是为专用网络保留的，并不是全球唯一的。

网络管理员为连接到网络的每台设备分配一个 IP 地址。根据网络实践和软件功能， 此类分配可能是静态的（固定的或永久的）或动态的。

通常的网络犯罪分子隐藏（至少是好的），例如，在代理层、VPN 或 TOR 节点后面。

他们的 IP 地址永远不会直接暴露给目标的机器。网络犯罪分子将始终使用第三方 IP 地址进行攻击。

有无数种方法可以进行网络攻击。但有一件事对所有人来说都是共同的。需要一个 IP 地址池作为媒介。犯罪分子需要 IP 地址来进行分布式拒绝服务攻击。

犯罪分子在探测服务时需要隐藏 IP 地址。犯罪分子需要 IP 地址来尝试暴力攻击。犯罪分子需要 IP 地址来运行僵尸网络和服务。简而言之，犯罪分子几乎需要将 IP 地址保持在他们的控制之下。这是他们最重要的资产，也是他们发动攻击所需的弹药。

那么，网络犯罪分子是如何获得这些臭名昭著的 IP 地址的呢？这让他们付出了多少代价呢？这里有些例子。

“管理员/管理员”

劫持机器，更具体地说是物联网设备网络。带有默认访问凭据和过时固件的物联网设备群的安全和管理不善是完美的目标。僵尸化大量设备的简单方法，为 DDoS 攻击提供新服务……嘿，“智能”安全摄像头……我们在看着你！

“VPS 很便宜”

选择任何云提供商，启动一些实例，安装机器人来扫描和尝试 Log4j 注入。以有限的成本，您可以让您的机器人网络扫描目标中的漏洞。当然，在某些时候，您会被标记或提供商可能会抓住您。但是您可以将您的方法复制到其他国家/地区的云提供商，可能更少关于这些 VPS 的使用......

'进入黑暗”

他们也可以去超市寻找罪犯，也就是。“暗网”并获得一个机器人网络，以几百美元的价格提供 DDoS 等攻击。脚本小子，欢迎。

这些方法的两个要点：

获取 IP 地址虽然并非不可能，但会耗费金钱、时间和资源。篡改它，你就篡改了罪犯有效完成工作的能力。禁止犯罪分子使用的已知 IP，您可能会大大提高在线资产的安全性。

这些机器人和扫描自动化活动会产生大量互联网背景噪音。想象一下所有那些无数的僵尸网络扫描 IP 空间以达到不同的邪恶目的。这被 SOC 分析师称为“警报疲劳”，意思是，这会产生大量数据，没有太多附加值，但分析师仍然需要考虑到这一点。

但大家好消息，有一些解决方案可以让网络犯罪分子的生活更加困难。

IP 信誉是解决方案的一部分。假设用户可以预防性地评估 IP 连接到服务的风险。在这种情况下，它可以锁定已知的恶意用户，并确保这些 IP 不再伤害任何人，事实上夺走了犯罪分子花费时间和金钱建立的 IP 地址池。

在 CrowdSec，我们进行了有趣的实验：我们在知名云提供商上设置了两个相同的 VPS，并提供了两个简单的服务，SSH 和 Nginx。没什么特别的，就像在野外有数百万台机器一样。两者都安装了 CrowdSec 以检测入侵企图。尽管如此，一台机器拥有修复代理 (IPS)，从 CrowdSec 社区接收 IP 信誉信息（每天共享 100 万个信号）并预防性地禁止标记的 IP。

结果相当惊人。

由于社区阻止列表，与没有 IPS 的机器相比，安装 IPS 的机器预防性阻止了 92% 的攻击。这是安全级别的显着提高。

社区 IP 阻止列表 - 与以前的策展 - 处理这两个挑战。

它通过取消他们的 IP 地址池来削弱犯罪分子。他们花费了时间、金钱和资源来建造它们，而我们作为一个社区，只是在眨眼之间就把它们拿走了。收下那个渣！

但它也让分析师和网络安全专家的生活变得更加轻松。通过预防性地阻止这些恶意 IP，背景噪音显着降低。我们正在谈论将需要由 SOC 人员分析的警报减少 90%。这样就有更多时间专注于更重要的警报和主题。警惕疲劳？- 再见。

原文始发于微信公众号（河南等级保护测评）：网络犯罪分子和 IP 地址